Управление вложенными группами

Некоторые серверы каталогов позволяют пользователю определить группу в качестве члена другой группы.

Группы в такой структуре называются вложенными группами. Вложенные группы упрощают разрешения, позволяя подгруппам наследовать разрешения от родительской группы.

На этой странице описано, как JIRA обрабатывает вложенные группы, которые существуют в одном или нескольких серверах каталогов.

Включение вложенных групп

Вы можете включить или отключить поддержку вложенных групп в каждом каталоге по отдельности. Выберите «Пользовательские каталоги» (User Directories) в меню администрирования JIRA, отредактируйте (edit ) каталог и выберите «Включить вложенные группы» (Enable Nested Groups). См. «Настройка пользовательских каталогов».

Заметки:

• Прежде чем включать вложенные группы для определенного типа каталога в JIRA, убедитесь, что ваш сервер каталогов поддерживает вложенные группы.
• Пожалуйста, ознакомьтесь с остальной частью этой страницы, чтобы понять, какие действия вложенные группы будут иметь действие на аутентификацию (логин) и разрешения в JIRA, и что происходит, когда вы обновляете пользователей и группы в JIRA.

Влияние вложенных групп

В этом разделе объясняется, как вложенные группы влияют на вход в систему, разрешения, просмотр и обновление пользователей и групп.

Авторизоваться

Когда пользователь входит в систему, они могут обращаться к приложению, если они принадлежат к авторизованной группе или к любой из ее подгрупп.

Права доступа

Пользователь может получить доступ к функции, если она принадлежит группе, имеющей необходимые разрешения, или если она принадлежит к любой из ее подгрупп.

Просмотр списков участников группы

Если вы попросите просмотреть членов группы, вы увидите всех пользователей, входящих в группу, и всех пользователей, входящих в ее подгруппы, объединенные в один список. Мы называем это сплюснутым списком.

Вы не можете просматривать или редактировать сами вложенные группы или видеть, что одна группа является членом другой группы.

Добавление и обновление членства в группах

Если вы добавляете пользователя в группу, пользователь добавляется к названной группе, а не к другим группам.

Если вы попытаетесь удалить пользователя из сплющенного списка, произойдет следующее:

• Если пользователь входит в верхнюю группу в иерархии групп в сокращенном списке, пользователь удаляется из верхней группы.
• В противном случае вы увидите сообщение об ошибке, указывающее, что пользователь не является прямым членом группы.

Примеры

Пример 1: Пользователь является членом подгруппы

Представьте себе, что на вашем сервере каталогов существуют следующие две группы:

• сотрудники
• маркетинг

Членство:

• Маркетинговая группа является членом группы персонала.
• Пользователь jsmith является участником маркетинга.

Вы увидите, что jsmith является членом как маркетинга, так и персонала. Вы не увидите, что две группы вложены. Если вы назначаете разрешения группе персонала, то jsmith получит эти разрешения.

Пример 2: Подгруппы как члены группы разработчиков jira

На сервере каталогов LDAP есть группы инженеров-групп и техно-групп. Мы хотим предоставить обеим группам доступ на уровне разработчиков к JIRA. У нас будет группа под названием jira-developers, которая имеет доступ на уровне разработчика.

Добавьте группу под названием jira-developers.

Добавьте инженерную группу в качестве подгруппы разработчиков jira.

Добавьте группу Techwriters в качестве подгруппы разработчиков jira.

Членство в группах теперь:

• jira-developers - подгруппы: инженер-группа, techwriters-group
• инженер-группа - подгруппы: dev-a, dev-b; пользователей: pblack
• dev-a - пользователи: jsmith, sbrown
• dev-b - пользователи: jsmith, dblue
• techwriters-group - пользователи: rgreen

Когда приложение JIRA запрашивает список пользователей в группе разработчиков jira, он получает следующий список:

• pblack
• JSmith
• sbrown
• dblue
• rgreen

 

Диаграмма: Подгруппы в качестве членов группы разработчиков jira

Заметки

Возможное влияние на производительность (Possible impact on performance). Включение вложенных групп может привести к более медленному поиску пользователей.

Определение вложенных групп в LDAP (Definition of nested groups in LDAP). В каталоге LDAP вложенная группа является дочерней группой, DN (Distinguished Name) ссылается на атрибут, содержащийся в записи родительской группы. Например, родительская группа Group One может иметь атрибут objectClass = group и один или несколько атрибутов member = DN, где DN может быть именем пользователя или группы в другом месте в дереве LDAP:

member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain

Связанные темы

Настройка пользовательских каталогов

• Настройка внутреннего каталога
• Подключение к каталогу LDAP
• Подключение к внутреннему каталогу с аутентификацией LDAP
• Подключение к Crowd или другому серверу JIRA для управления пользователями
• Управление несколькими каталогами
• Синхронизация данных из внешних каталогов
• Управление вложенными группами
• Диаграммы возможных конфигураций для управления пользователями
• Ограничения и рекомендации для управления пользователями
• Разрешить другим приложениям подключаться к JIRA для управления пользователями
• Миграция пользователей между пользовательскими каталогами

 

По материалам Atlassian JIRA Administrator's Guide: Managing Nested Groups